Proofpoint-Studie zeigt: Deutsche Reiseportale schützen ihre Kunden nicht ausreichend vor betrügerischen E-Mails

80 Prozent der größten Online-Reiseanbieter in Deutschland* vernachlässigen grundlegende Cybersicherheitsmaßnahmen und setzen deutsche Urlauber damit der Gefahr von E-Mail-Betrug aus. Das ist das Ergebnis einer neuen Studie von Proofpoint, einem führenden Cybersecurity- und Compliance-Unternehmen. Für ihre Studie analysierten die Proofpoint-Experten die DMARC-Implementierung (Domain-based Message Authentication, Reporting and Conformance) der 20 größten Reiseportale in Deutschland.

DMARC ist ein E-Mail-Authentifizierungsprotokoll, das Domains vor dem Missbrauch durch Cyberkriminelle schützt. Das System fungiert als Authentifizierungs- und Filtermechanismus, der sicherstellt, dass nur autorisierte Server E-Mails im Namen einer Domain versenden. Dabei wird die Identität des Absenders überprüft, bevor eine Nachricht ihr Ziel erreicht. DMARC bietet drei Schutzstufen – „Monitor“, „Quarantine“ und „Reject“, wobei „Reject“ die sicherste Option darstellt, um verdächtige E-Mails direkt zu blockieren.

Rund dreiviertel aller Deutschen planen laut aktuellen Umfragen, 2025 eine Urlaubsreise bzw. haben diese bereits gebucht. Für 17 Prozent kommt angesichts schmaler werdender Budgets voraussichtlich kein Urlaub infrage. Während die meisten Verbraucher voller Vorfreude ihre Reisen planen und buchen, nutzen Cyberkriminelle das erhöhte Buchungsaufkommen und die Flut an Werbe-E-Mails gezielt aus. Im Ergebnis werden Traumurlaube durch ausgeklügelte E-Mail-Betrugsmaschen schnell zum teuren Albtraum.

Die wichtigsten Ergebnisse der Proofpoint-Studie im Überblick:

• In puncto E-Mail-Sicherheit ist Deutschland im Vergleich zu anderen europäischen Staaten und Ländern im Nahen Osten am schlechtesten vorbereitet: Hierzulande haben nur 75 Prozent der Top-Reiseanbieter einen grundlegenden DMARC-Eintrag veröffentlicht. Das bedeutet, dass 25 Prozent keine Maßnahmen ergreifen, um ihre Kunden vor E-Mail-Betrug zu schützen.
• Raum für Verbesserungsbedarf: Nur 20 Prozent der deutschen Top-Reiseportale nutzen DMARC auf der strengsten Stufe „Reject“. Das bedeutet, dass Kunden, Mitarbeiter und Partner bei 80 Prozent der Anbieter immer noch dem Risiko gefälschter E-Mails ausgesetzt sind.
• Durchschnittlich verfügen 88 Prozent der führenden Reise-Websites in Europa und dem Nahen Osten über einen DMARC-Eintrag. Allerdings nutzen nur 46 Prozent die „Reject“-Stufe – 54 Prozent lassen ihre Kunden somit ungeschützt gegenüber E-Mail-Betrug.

„Reisebuchungen gehen oft mit großen finanziellen Transaktionen einher und haben für viele einen großen emotionalen Wert – das macht Reisende zu attraktiven Zielen für Cyberkriminelle. Gerade zur Hauptreisezeit nutzen Angreifer raffinierte E-Mail-Betrugsmaschen, um Schwachstellen auszunutzen“, erklärt Matt Cooke, Cybersecurity Strategist bei Proofpoint. „Gefälschte Buchungsbestätigungen, verlockende Angebote oder angeblich dringende Zahlungsaufforderungen wegen Flugänderungen sind gängige Tricks. Diese Nachrichten wirken täuschend echt und gefährden sowohl den Geldbeutel als auch die persönlichen Daten der Reisenden.“

Cooke fährt fort: „Reiseunternehmen tragen eine soziale Verantwortung, alles zu tun, um zu verhindern, dass in ihrem Namen überzeugende Betrugs-E-Mails an Urlauber verschickt werden. Durch die Implementierung der DMARC-Technologie bis zur höchsten Stufe (Reject) können Reiseunternehmen das Risiko dafür beträchtlich reduzieren und ihre Marke und alle Urlauber schützen – eine Win-Win-Situation.“

Proofpoint gibt fünf Tipps für sicheres Buchen und Reisen:

1. Schützen Sie Ihre Buchungen und Konten: Verwenden Sie starke, einzigartige Passwörter für Reiseportale und aktivieren Sie nach Möglichkeit die Zwei-Faktor-Authentifizierung.
2. Vorsicht vor gefälschten Angeboten und Websites: Seien Sie skeptisch bei extrem günstigen Schnäppchen. Kriminelle erstellen täuschend echte Fake-Websites von Airlines, Hotels oder Vergleichsportalen. Buchen Sie immer über die offiziellen Webseiten oder vertrauenswürdige Agenturen.
3. Achten Sie auf Phishing- und Smishing-Angriffe Bleiben Sie wachsam gegenüber E-Mails oder Textnachrichten mit angeblichen Flugänderungen, Buchungsbestätigungen oder Visa-Anträgen, die eine schnelle Reaktion oder persönliche Daten einfordern.
4. Klicken Sie keine verdächtigen Links: Öffnen Sie keine Links in unerwarteten E-Mails, Nachrichten oder Pop-ups. Geben Sie stattdessen die Adresse der offiziellen Website direkt im Browser ein.
5. Prüfen Sie Bewertungen, bevor Sie buchen: Betrügerische Angebote und Apps sehen oft seriös aus. Informieren Sie sich vor Zahlungen oder App-Downloads über das Unternehmen und lesen Sie unabhängige Bewertungen.

Weitere Informationen zu DMARC finden Sie auf: https://www.proofpoint.com/de/products/premium-security-services/email-fraud-defense-services

* Methode/Zeitraum: Die Analyse der DMARC-Implementierung bei den 20 größten Online-Reiseanbietern in Deutschland, Italien, Frankreich, Spanien, Benelux, VAE und KSA (basierend auf Daten von Semrush, ecommerce Italia, Fevad, Statista, Ocu, SimilarWeb) erfolgte im Mai 2025.

###

Über Proofpoint
Proofpoint, Inc. ist ein führendes Cybersecurity- und Compliance-Unternehmen, das die wichtigsten Aktiva und Risiken einer Organisation schützt: ihre Belegschaft. Mit einer integrierten Suite von Cloud-basierten Lösungen hilft Proofpoint Unternehmen auf der ganzen Welt, gezielte Bedrohungen zu stoppen, ihre Daten zu schützen und ihre IT-Anwender resilienter gegen Cyberattacken zu machen. Führende Unternehmen aller Größen, darunter 85 Prozent der Fortune 100, verlassen sich auf Proofpoints personenorientierte Sicherheits- und Compliance-Lösungen, um die wichtigsten Risiken bei der Nutzung von E-Mails, der Cloud, Social Media und dem Internet zu verringern.

Weitere Informationen finden Sie unter www.proofpoint.com/de.

Mehr zu Proofpoint auf: X | LinkedIn | Facebook | YouTube 

Proofpoint ist ein eingetragenes Warenzeichen von Proofpoint, Inc. in den USA und / oder anderen Ländern. Alle anderen hier erwähnten Marken sind das Eigentum ihrer jeweiligen Inhaber.